Planear actualizaciones de software en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Antes de usar las actualizaciones de software en un entorno de producción Configuration Manager, es importante que realice el proceso de planeamiento. Tener un buen plan para la infraestructura del punto de actualización de software es clave para una implementación correcta de actualizaciones de software. Para obtener información sobre el planeamiento de capacidad para las actualizaciones de software, consulte Números de tamaño y escala.

Determinación de la infraestructura del punto de actualización de software

En esta sección se incluyen los siguientes subtemas:

• Lista de puntos de actualización de software
• Cambio de punto de actualización de software
• Cambiar manualmente los clientes a un nuevo punto de actualización de software
• Puntos de actualización de software en un bosque que no es de confianza
• Uso de un servidor WSUS existente como origen de sincronización en el sitio de nivel superior
• Punto de actualización de software en un sitio secundario
• Planeamiento de clientes basados en Internet
• Planear el contenido de actualización de software
• Planear actualizaciones de terceros

El sitio de administración central y todos los sitios primarios secundarios deben tener un punto de actualización de software. A medida que planee la infraestructura del punto de actualización de software, determine las siguientes dependencias:

• Dónde instalar el punto de actualización de software para el sitio
• Qué sitios requieren un punto de actualización de software que acepte la comunicación de clientes basados en Internet
• Si necesita un punto de actualización de software en sitios secundarios

Importante

Para obtener más información sobre las dependencias internas y externas necesarias para las actualizaciones de software, consulte Requisitos previos para las actualizaciones de software.

Agregue varios puntos de actualización de software en un sitio primario de Configuration Manager para proporcionar tolerancia a errores. El diseño de conmutación por error del punto de actualización de software es diferente del modelo de aleatorización pura que se usa en el diseño de puntos de administración. A diferencia del diseño de puntos de administración, hay costos de rendimiento de cliente y red en el diseño del punto de actualización de software cuando los clientes cambian a un nuevo punto de actualización de software. Cuando el cliente cambia a un nuevo servidor WSUS para buscar actualizaciones de software, el resultado es un aumento en el tamaño del catálogo y las demandas de rendimiento de red y del lado cliente asociadas. Por lo tanto, el cliente conserva la afinidad con el último punto de actualización de software desde el que se examinó correctamente.

El primer punto de actualización de software que se instala en un sitio primario es el origen de sincronización de todos los puntos de actualización de software adicionales que se agregan en el sitio primario. Después de agregar puntos de actualización de software e iniciar la sincronización, vea el estado de los puntos de actualización de software y el origen de sincronización desde el nodo Estado de sincronización de punto de actualización de software en el área de trabajo Supervisión .

Cuando se produce un error en el punto de actualización de software configurado como origen de sincronización para el sitio, quite manualmente el rol con errores. A continuación, seleccione un nuevo punto de actualización de software para usarlo como origen de sincronización. Para obtener más información, consulte Eliminación de un rol de sistema de sitio.

Lista de puntos de actualización de software

Configuration Manager proporciona al cliente una lista de puntos de actualización de software en los escenarios siguientes:

• Un nuevo cliente recibe la directiva para habilitar las actualizaciones de software

• Un cliente no puede ponerse en contacto con su punto de actualización de software asignado y debe cambiar a otro.

El cliente selecciona aleatoriamente un punto de actualización de software de la lista. Prioriza los puntos de actualización de software en el mismo bosque. Configuration Manager proporciona a los clientes una lista diferente en función del tipo de cliente:

• Clientes basados en intranet: reciba una lista de puntos de actualización de software que puede configurar para permitir conexiones solo desde la intranet o una lista de puntos de actualización de software que permiten conexiones de cliente de Internet e intranet.

• Clientes basados en Internet: reciba una lista de puntos de actualización de software que configure para permitir conexiones solo desde Internet o una lista de puntos de actualización de software que permitan conexiones de cliente de Internet e intranet.

Cambio de punto de actualización de software

Nota:

Los clientes usan grupos de límites para buscar un nuevo punto de actualización de software. Si su punto de actualización de software actual ya no es accesible, también usan grupos de límites para reservarse y buscar uno nuevo. Agregue puntos de actualización de software individuales a distintos grupos de límites para controlar qué servidores puede encontrar un cliente. Para obtener más información, consulte Puntos de actualización de software.

Si tiene varios puntos de actualización de software en un sitio y uno produce un error o deja de estar disponible, los clientes se conectarán a un punto de actualización de software diferente. Con este nuevo servidor, los clientes siguen buscando las actualizaciones de software más recientes. Cuando a un cliente se le asigna por primera vez un punto de actualización de software, permanece asignado a ese punto de actualización de software a menos que no se puede examinar.

El examen de actualizaciones de software puede producir un error con una serie de códigos de error de reintentos y no reintentos diferentes. Cuando se produce un error en el examen con un código de error de reintento, el cliente inicia un proceso de reintento para buscar las actualizaciones de software en el punto de actualización de software. Las condiciones de alto nivel que dan lugar a un código de error de reintento suelen deberse a que el servidor WSUS no está disponible o porque está sobrecargado temporalmente. Cuando el cliente no puede buscar actualizaciones de software, usa el siguiente proceso:

1. El cliente examina las actualizaciones de software:

   • A su hora programada
   • Cuando se ejecuta manualmente desde el panel de control del cliente
   • Cuando se ejecuta manualmente desde la consola de Configuration Manager a través de una acción de notificación de cliente
   • Cuando se ejecuta desde un método Configuration Manager SDK

2. Si se produce un error en el examen, el cliente espera 30 minutos para volver a intentar el examen. Usa el mismo punto de actualización de software.

3. El cliente reintenta un mínimo de cuatro veces cada 30 minutos. Después del cuarto error y después de esperar dos minutos más, el cliente pasa al siguiente punto de actualización de software de su lista.

4. El cliente repite este proceso con el nuevo punto de actualización de software. Después de un examen correcto, el cliente continúa conectándose al nuevo punto de actualización de software.

En la lista siguiente se proporciona información adicional que se debe tener en cuenta para los escenarios de reintento y cambio de punto de actualización de software:

• Si un cliente está desconectado de la intranet y no puede buscar actualizaciones de software, no cambia a otro punto de actualización de software. Se espera este error, porque el cliente no puede llegar a la red interna ni a un punto de actualización de software que permita conexiones desde la intranet. El cliente Configuration Manager determina la disponibilidad del punto de actualización de software de intranet.

• Si está administrando clientes en Internet y ha configurado varios puntos de actualización de software para aceptar la comunicación de los clientes en Internet, el proceso de conmutación sigue el proceso de reintento estándar descrito anteriormente.

• Si se inicia el proceso de examen, pero el cliente está desactivado antes de que se complete el examen, no se considera un error de examen y no cuenta como uno de los cuatro reintentos.

Cuando Configuration Manager recibe cualquiera de los siguientes códigos de error del agente de Windows Update, el cliente vuelve a intentar la conexión:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

Para buscar el significado de un código de error, convierta el código de error decimal en hexadecimal y, a continuación, busque el valor hexadecimal en un sitio como Windows Update Agent - Error Codes Wiki. Por ejemplo, el código de error decimal 2149842970 es hexadecimal 8024001A, lo que significa WU_E_POLICY_NOT_SET no se estableció un valor de directiva.

Cambiar manualmente los clientes a un nuevo punto de actualización de software

Cambie Configuration Manager clientes a un nuevo punto de actualización de software cuando haya problemas con el punto de actualización de software activo. Este cambio solo se produce cuando un cliente recibe varios puntos de actualización de software desde un punto de administración.

Importante

Al cambiar los dispositivos para usar un nuevo servidor, los dispositivos usan la reserva para buscar ese nuevo servidor. Los clientes cambian al nuevo punto de actualización de software durante su siguiente ciclo de examen de actualizaciones de software.

Antes de iniciar este cambio, revise las configuraciones del grupo de límites para asegurarse de que los puntos de actualización de software están en los grupos de límites correctos. Para obtener más información, consulte Puntos de actualización de software.

Cambiar a un nuevo punto de actualización de software genera tráfico de red adicional. La cantidad de tráfico depende de la configuración de WSUS, por ejemplo, las clasificaciones y productos sincronizados, o el uso de una base de datos WSUS compartida. Si tiene previsto cambiar varios dispositivos, considere la posibilidad de hacerlo durante las ventanas de mantenimiento. Este tiempo reduce el impacto en la red cuando los clientes examinan con el nuevo punto de actualización de software.

Proceso para cambiar los puntos de actualización de software

Inicie este cambio en una colección de dispositivos. Una vez desencadenados, los clientes buscan otro punto de actualización de software en el siguiente examen.

1. En la consola de Configuration Manager, vaya al área de trabajo Activos y compatibilidad y seleccione el nodo Recopilaciones de dispositivos.

2. Seleccione la colección de destino. En la pestaña Inicio de la cinta de opciones, en el grupo Recopilación , seleccione Notificación de cliente y, a continuación, seleccione Cambiar al siguiente punto de actualización de software.

Puntos de actualización de software en un bosque que no es de confianza

Cree uno o varios puntos de actualización de software en un sitio para admitir clientes en un bosque que no es de confianza. Para agregar un punto de actualización de software en otro bosque, primero instale y configure un servidor WSUS en ese bosque. A continuación, inicie el asistente para agregar un servidor de sitio Configuration Manager con el rol de sistema de sitio de punto de actualización de software. En el asistente, configure los siguientes valores para conectarse correctamente a WSUS en el bosque que no es de confianza:

• Especifique una cuenta de instalación del sistema de sitio que pueda acceder al servidor WSUS en el bosque que no es de confianza.

• Especifique una cuenta de conexión del servidor WSUS para conectarse al servidor WSUS.

Por ejemplo, tiene un sitio primario en el bosque A con dos puntos de actualización de software (SUP01 y SUP02). Para el mismo sitio primario, también tiene dos puntos de actualización de software (SUP03 y SUP04) en el bosque B. Al cambiar al siguiente punto de actualización de software, los clientes priorizan los servidores desde el mismo bosque.

Uso de un servidor WSUS existente como origen de sincronización en el sitio de nivel superior

Normalmente, el sitio de nivel superior de la jerarquía está configurado para sincronizar los metadatos de las actualizaciones de software con Microsoft Update. Cuando la directiva de seguridad de la organización no permite que el sitio de nivel superior acceda a Internet, configure el origen de sincronización para que el sitio de nivel superior use un servidor WSUS existente. Este servidor WSUS no está en la jerarquía de Configuration Manager. Por ejemplo, tiene un servidor WSUS en una red conectada a Internet (DMZ), pero el sitio de nivel superior está en una red interna sin acceso a Internet. Configure el servidor WSUS en la red perimetral como origen de sincronización para los metadatos de actualizaciones de software. Configure el servidor WSUS en la red perimetral para sincronizar las actualizaciones de software con los mismos criterios que necesita en Configuration Manager. De lo contrario, es posible que el sitio de nivel superior no sincronice las actualizaciones de software que espera. Al instalar el punto de actualización de software, configure una cuenta de conexión de servidor WSUS. Esta cuenta necesita acceso al servidor WSUS en la red perimetral. Confirme también que el firewall permite el tráfico para los puertos adecuados. Para obtener más información, consulte los puertos que usa el punto de actualización de software para el origen de sincronización.

Punto de actualización de software en un sitio secundario

El punto de actualización de software es opcional en un sitio secundario. Instale solo un punto de actualización de software en un sitio secundario. Cuando un punto de actualización de software no está instalado en el sitio secundario, los dispositivos dentro de los límites de un sitio secundario usan un punto de actualización de software en su sitio primario asignado. Normalmente, se instala un punto de actualización de software en un sitio secundario cuando hay un ancho de banda de red limitado entre los dispositivos del sitio secundario y los puntos de actualización de software en el sitio primario primario. También puede usar esta configuración cuando el punto de actualización de software en el sitio principal se aproxima al límite de capacidad. Después de instalar y configurar correctamente un punto de actualización de software en el sitio secundario, se actualiza una directiva de todo el sitio para los clientes y comienzan a usar el nuevo punto de actualización de software.

Planeamiento de clientes basados en Internet

Cuando necesite administrar dispositivos que se desplazan fuera de la red a Internet, desarrolle un plan para administrar las actualizaciones de software en estos dispositivos. Configuration Manager admite varias tecnologías para este escenario. Use una o una combinación según sea necesario para cumplir los requisitos de su organización.

Puerta de enlace de administración en la nube

Cree una puerta de enlace de administración en la nube en Microsoft Azure y habilite al menos un punto de actualización de software local para permitir el tráfico de clientes basados en Internet. A medida que los clientes se desplazan a Internet, siguen analizando los puntos de actualización de software. Todos los clientes basados en Internet siempre obtienen contenido del servicio en la nube de Microsoft Update.

Para obtener más información, consulte Información general sobre cloud management gateway y Configuración de grupos de límites.

Nota:

A partir de la versión 2203, puede establecer que los clientes prefieran examinar en un punto de actualización de software (SUP) de Cloud Management Gateway (CMG) a través de un SUP local. Este comportamiento se controla mediante la opción Preferir origen basado en la nube en lugar de origen local en el grupo de límites. Para reducir el impacto en el rendimiento de este cambio, los clientes existentes no cambian automáticamente su SUP a un SUP basado en la nube. El cliente permanecerá asignado a su SUP actual a menos que se produzca un error en su SUP actual o que el cliente cambie manualmente a un nuevo SUP.

Administración de clientes basada en Internet

Coloque un punto de actualización de software en una red accesible desde Internet y habilite para permitir el tráfico de clientes basados en Internet. A medida que los clientes se desplazan a Internet, cambian a este punto de actualización de software para su examen. Todos los clientes basados en Internet siempre obtienen contenido del servicio en la nube de Microsoft Update.

Para obtener más información sobre las ventajas y desventajas de la administración de clientes basada en Internet, consulte Administración de clientes en Internet.

Windows Update para empresas

Windows Update para empresas le permite mantener Windows 10 o dispositivos posteriores siempre actualizados con las últimas actualizaciones de características y calidad. Estos dispositivos se conectan directamente al servicio en la nube Windows Update. Configuration Manager puede diferenciar entre los equipos Windows que usan WUfB y WSUS para obtener actualizaciones de software.

Para obtener más información, consulte Integración con Windows Update para empresas.

Planear el contenido de actualización de software

Los clientes deben descargar los archivos de contenido para las actualizaciones de software con el fin de instalarlos. Configuration Manager proporciona varias tecnologías para admitir la administración y entrega de este contenido. También puede configurar implementaciones de actualización de software para permitir o requerir que los clientes obtengan contenido directamente desde el servicio en la nube de Microsoft Update.

Nota:

A partir del 28 de marzo de 2023, los dispositivos locales Windows 11, versión 22H2, recibirán actualizaciones de calidad a través de Unified Update Platform (UUP). UUP local interopera con WSUS y Microsoft Configuration Manager. Las actualizaciones de calidad de UUP siguen siendo acumulativas e incluyen todas las correcciones de calidad y seguridad de Windows publicadas. La administración de actualizaciones local con Unified Update Platform (UUP) requiere 10 GB adicionales de espacio por versión de Windows y arquitectura de procesador para cada versión. Para obtener más información, consulte la sección Consideraciones de UUP .

Descargar y distribuir contenido

De forma predeterminada, el proceso de administración de actualizaciones de software de Configuration Manager usa las características integradas de administración de contenido. Estas características incluyen la biblioteca de contenido de almacén de instancia única centralizada y el diseño distribuido del rol de sistema de sitio de punto de distribución. Estas características se usan al descargar y distribuir paquetes de implementación de actualizaciones de software.

Para obtener más información, consulte Descarga de actualizaciones de software.

Administración de archivos de instalación rápida para Windows 10 o posterior

Configuration Manager admite el uso de archivos de instalación rápida para las actualizaciones de Windows. Los archivos de actualización rápida y las tecnologías auxiliares, como la optimización de distribución, pueden ayudar a reducir el impacto en la red de los archivos de contenido de gran tamaño que se descargan en los clientes.

Para obtener más información, consulta Optimizar la entrega de actualizaciones de Windows.

Los clientes descargan contenido de Internet

Al implementar actualizaciones de software en clientes, configure la implementación para que los clientes descarguen contenido del servicio en la nube de Microsoft Update. Cuando los clientes no pueden descargar contenido de otro origen de contenido, todavía pueden descargar el contenido de Internet.

No es necesario crear un paquete de implementación al implementar actualizaciones de software. Al seleccionar la opción Sin paquete de implementación , los clientes pueden seguir descargando contenido de orígenes locales si están disponibles, pero normalmente se descargan desde el servicio Microsoft Update.

Los clientes basados en Internet siempre descargan contenido del servicio en la nube de Microsoft Update. No distribuya paquetes de implementación de actualizaciones de software a una puerta de enlace de administración en la nube (CMG) habilitada para contenido.

Planear actualizaciones de terceros

Configuration Manager se integra con WSUS, que admite de forma nativa las actualizaciones de software publicadas por Microsoft. La mayoría de los clientes usan otras aplicaciones de terceros que también necesitan actualizaciones. Hay varias opciones que se deben tener en cuenta para mantener actualizadas las aplicaciones de terceros.

Reemplazar las aplicaciones que se van a actualizar

Use una relación de sustitución con la característica de administración de aplicaciones de Configuration Manager para actualizar o reemplazar aplicaciones existentes. Cuando reemplace una aplicación, especifique un nuevo tipo de implementación para reemplazar el tipo de implementación de la aplicación reemplazada. Decida también si desea actualizar o desinstalar la aplicación reemplazada antes de instalar la aplicación de superseding.

Para obtener más información, consulte Revisión y sustitución de aplicaciones.

Actualizaciones de software de terceros

Puede usar el nodo Catálogos de actualizaciones de software de terceros en la consola de Configuration Manager para suscribirse a catálogos de terceros, publicar sus actualizaciones en el punto de actualización de software y, a continuación, implementarlas en los clientes.

Para obtener más información, consulte Actualizaciones de software de terceros.

Centro de actualizaciones del sistema de Publisher

System Center Novedades Publisher (SCUP) es una herramienta independiente que permite a los editores de software independientes o a los desarrolladores de aplicaciones de línea de negocio administrar actualizaciones personalizadas. Estas actualizaciones incluyen aquellas con dependencias, como controladores y paquetes de actualizaciones. SCUP también se puede usar para catálogos de actualizaciones de terceros que no están disponibles directamente en la consola.

Para obtener más información, vea System Center Novedades Publisher.

Planear la instalación del punto de actualización de software

En esta sección se incluyen los siguientes subtemas:

• Requisitos para el punto de actualización de software
• Planeamiento de la instalación de WSUS
• Configuración de firewalls

En esta sección se proporciona información sobre los pasos que debe seguir para planear y preparar correctamente la instalación del punto de actualización de software. Antes de crear un rol de sistema de sitio para el punto de actualización de software en Configuration Manager, hay varios requisitos a tener en cuenta. Los requisitos específicos dependen de la infraestructura de Configuration Manager. Al configurar el punto de actualización de software para comunicarse mediante HTTPS, esta sección es especialmente importante de revisar. Los servidores habilitados para HTTPS requieren pasos adicionales para funcionar correctamente.

Requisitos para el punto de actualización de software

Instale el rol de punto de actualización de software en un sistema de sitio que cumpla los requisitos mínimos para WSUS y las configuraciones admitidas para Configuration Manager sistemas de sitio.

• Para obtener más información sobre los requisitos mínimos para el rol de servidor WSUS en Windows Server, consulte Consideraciones de revisión y requisitos del sistema.

• Para obtener más información sobre las configuraciones admitidas para Configuration Manager sistemas de sitio, consulte Requisitos previos del sitio y del sistema de sitio.

Planeamiento de la instalación de WSUS

Instale una versión compatible de WSUS en todos los servidores de sistema de sitio que configure para el rol de punto de actualización de software. Cuando no instale el punto de actualización de software en el servidor de sitio, instale la consola de administración de WSUS en el servidor de sitio. Este componente permite que el servidor de sitio se comunique con WSUS que se ejecuta en el punto de actualización de software.

Cuando use WSUS en Windows Server 2012 o versiones posteriores, configure permisos adicionales para permitir que el componente de Configuration Manager WSUS de Configuration Manager se conecte a WSUS. Este componente realiza comprobaciones de estado periódicas. Elija una de las siguientes opciones para configurar el permiso necesario:

• Agregar la cuenta SYSTEM al grupo Administradores de WSUS

• Agregue la cuenta NT AUTHORITY\SYSTEM como usuario para la base de datos WSUS (SUSDB). Configure un mínimo de pertenencia al rol de base de datos webService.

Para obtener más información sobre cómo instalar WSUS en Windows Server, vea Instalar el rol de servidor WSUS.

Al instalar más de un punto de actualización de software en un sitio primario, use la misma base de datos WSUS para cada punto de actualización de software en el mismo bosque de Active Directory. Compartir la misma base de datos mejora el rendimiento cuando los clientes cambian a un nuevo punto de actualización de software. Para obtener más información, consulte Uso de una base de datos WSUS compartida para puntos de actualización de software.

Configuración de la ruta de acceso del directorio de contenido de WSUS

Al instalar WSUS, deberá proporcionar una ruta de acceso del directorio de contenido. El directorio de contenido wsus se usa principalmente para almacenar los archivos de términos de licencia de software de Microsoft necesarios para los clientes durante el examen. El Configuration Manager El directorio de contenido wsus no debe superponerse con el directorio de origen de contenido para Configuration Manager paquetes de implementación de software. La superposición del directorio de contenido de WSUS y el origen del paquete de Configuration Manager provocará que se quiten archivos incorrectos del directorio de contenido de WSUS.

Configuración de WSUS para usar un sitio web personalizado

Al instalar WSUS, tiene la opción de usar el sitio web predeterminado de IIS existente o crear un sitio web wsus personalizado. Cree un sitio web personalizado para WSUS para que IIS hospede los servicios wsus en un sitio web virtual dedicado. De lo contrario, comparte el mismo sitio web que usan los demás Configuration Manager sistemas de sitio o aplicaciones. Esta configuración es especialmente necesaria al instalar el rol de punto de actualización de software en el servidor de sitio. Al ejecutar WSUS en Windows Server 2012 o versiones posteriores, WSUS está configurado de forma predeterminada para usar el puerto 8530 para HTTP y el puerto 8531 para HTTPS. Especifique estos puertos al crear el punto de actualización de software en un sitio.

Configuración de WSUS como servidor de réplica

Al agregar el rol de punto de actualización de software en un servidor de sitio principal, no se puede usar un servidor WSUS configurado como réplica. Cuando el servidor WSUS está configurado como réplica, Configuration Manager no puede configurar el servidor WSUS y se produce un error en la sincronización de WSUS. El primer punto de actualización de software que se instala en un sitio primario es el punto de actualización de software predeterminado. Los puntos de actualización de software adicionales en el sitio se configuran como réplicas del punto de actualización de software predeterminado.

Decidir si se configura WSUS para usar SSL

Se recomienda encarecidamente usar el protocolo SSL para ayudar a proteger el punto de actualización de software. WSUS usa SSL para autenticar equipos cliente y servidores WSUS de bajada en el servidor WSUS. WSUS también usa SSL para cifrar los metadatos de actualización de software. Cuando decida proteger WSUS con SSL, prepare el servidor WSUS antes de instalar el punto de actualización de software.

Al instalar y configurar el punto de actualización de software, seleccione la opción Habilitar comunicaciones SSL para el servidor WSUS. De lo contrario, Configuration Manager configura WSUS para que no use SSL. Al habilitar SSL en un punto de actualización de software, configure también los puntos de actualización de software en sitios secundarios para usar SSL. Para obtener más información, consulte el tutorial Configurar un punto de actualización de software para usar TLS/SSL con un certificado PKI.

Nota:

Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software. A partir de la actualización acumulativa de septiembre de 2020, los servidores WSUS basados en HTTP serán seguros de forma predeterminada. Un cliente que busque actualizaciones en un WSUS basado en HTTP ya no podrá aprovechar un proxy de usuario de forma predeterminada. Si todavía necesita un proxy de usuario a pesar de los inconvenientes de seguridad, hay disponible una nueva configuración de cliente de actualizaciones de software para permitir estas conexiones. Para obtener más información sobre los cambios para examinar WSUS, consulte Cambios de septiembre de 2020 para mejorar la seguridad de los dispositivos Windows que examinan WSUS.

Configuración de firewalls

El punto de actualización de software de un sitio de administración central Configuration Manager se comunica con WSUS en el punto de actualización de software. WSUS se comunica con el origen de sincronización para sincronizar los metadatos de las actualizaciones de software. Los puntos de actualización de software de un sitio secundario se comunican con el punto de actualización de software en el sitio primario. Cuando hay más de un punto de actualización de software en un sitio primario, los puntos de actualización de software adicionales se comunican con el punto de actualización de software predeterminado. El rol predeterminado es el primer punto de actualización de software instalado en el sitio.

Es posible que tenga que configurar el firewall para permitir el tráfico HTTP o HTTPS que WSUS usa en los siguientes escenarios:

• Entre el punto de actualización de software e Internet
• Entre un punto de actualización de software y su origen de sincronización ascendente
• Entre puntos de actualización de software adicionales

La conexión a Microsoft Update siempre está configurada para usar el puerto 80 para HTTP y el puerto 443 para HTTPS. Use un puerto personalizado para la conexión desde WSUS en el punto de actualización de software de un sitio secundario a WSUS en el punto de actualización de software del sitio primario. Cuando la directiva de seguridad no permita la conexión, use el método de sincronización de exportación e importación. Para obtener más información, consulte la sección Origen de sincronización de este artículo. Para obtener más información sobre los puertos que usa WSUS, consulte Cómo determinar la configuración de puertos que usa WSUS en Configuration Manager.

Restricción del acceso a dominios específicos

Si su organización restringe la comunicación de red con Internet mediante un firewall o dispositivo proxy, debe permitir que el punto de actualización de software activo acceda a los puntos de conexión de Internet. A continuación, WSUS y Novedades automático pueden comunicarse con el servicio en la nube de Microsoft Update.

Para obtener más información, consulte Requisitos de acceso a Internet.

Planear la configuración de sincronización

En esta sección se incluyen los siguientes subtemas:

• Origen de sincronización
• Programación de sincronización
• Actualizar clasificaciones
• Productos
• Reglas de sustitución
• Idiomas
• Tiempo máximo de ejecución

La sincronización de actualizaciones de software en Configuration Manager descarga los metadatos de las actualizaciones de software en función de los criterios que configure. El sitio de nivel superior de la jerarquía sincroniza las actualizaciones de software de Microsoft Update. Tiene la opción de configurar el punto de actualización de software en el sitio de nivel superior para sincronizarlo con un servidor WSUS existente, no con la jerarquía de Configuration Manager. Los sitios primarios secundarios sincronizan los metadatos de las actualizaciones de software desde el punto de actualización de software en el sitio de administración central. Antes de instalar y configurar un punto de actualización de software, use esta sección para planear la configuración de sincronización.

Origen de sincronización

La configuración de origen de sincronización del punto de actualización de software especifica la ubicación en la que el punto de actualización de software recupera los metadatos de las actualizaciones de software. También especifica si el proceso de sincronización crea eventos de informes de WSUS.

• Origen de sincronización: de forma predeterminada, el punto de actualización de software en el sitio de nivel superior configura el origen de sincronización para Microsoft Update. Tiene la opción de sincronizar el sitio de nivel superior con un servidor WSUS existente. El punto de actualización de software de un sitio primario secundario configura el origen de sincronización como punto de actualización de software en el sitio de administración central.

  • El primer punto de actualización de software que se instala en un sitio primario, que es el punto de actualización de software predeterminado, se sincroniza con el sitio de administración central. Los puntos de actualización de software adicionales del sitio primario se sincronizan con el punto de actualización de software predeterminado en el sitio primario.

  • Cuando un punto de actualización de software se desconecta de Microsoft Update o del servidor de actualizaciones ascendente, configure el origen de sincronización para que no se sincronice con un origen de sincronización configurado. En su lugar, configúrelo para usar la función de exportación e importación de la herramienta WSUSUtil para sincronizar las actualizaciones de software. Para obtener más información, consulte Sincronización de actualizaciones de software desde un punto de actualización de software desconectado.

• Eventos de informes de WSUS: El agente de Windows Update en los equipos cliente puede crear mensajes de evento para los informes de WSUS. Configuration Manager no usa estos eventos. Por lo tanto, la opción No crear eventos de informes de WSUS está seleccionada de forma predeterminada. Cuando no se crean estos eventos, la única vez que el cliente debe conectarse al servidor WSUS es durante los exámenes de cumplimiento y evaluación de actualizaciones de software. Si estos eventos son necesarios para informar fuera de Configuration Manager, modifique esta configuración para crear eventos de informes de WSUS.

Importante

Si va a compartir la base de datos WSUS (SUSDB) en varios puntos de actualización de software para el sitio de nivel superior, asegúrese de que cada uno de esos servidores WSUS cumple los requisitos de acceso a Internet para las actualizaciones de software. Cuando la base de datos se comparte con el sitio de nivel superior, Configuration Manager puede seleccionar cualquiera de esos servidores WSUS para sincronizar con Microsoft Update.

Programación de sincronización

Configure la programación de sincronización solo en el punto de actualización de software del sitio de nivel superior de la jerarquía de Configuration Manager. Al configurar la programación de sincronización, el punto de actualización de software se sincroniza con el origen de sincronización en la fecha y hora especificadas. La programación personalizada permite sincronizar las actualizaciones de software para optimizar el entorno. Tenga en cuenta las demandas de rendimiento del servidor WSUS, el servidor de sitio y la red. Por ejemplo, a las 2:00 a.m. una vez a la semana. Como alternativa, inicie manualmente la sincronización en el sitio de nivel superior mediante la acción De software de sincronización Novedades desde los nodos Todos los Novedades de software o Grupos de actualizaciones de software de la consola de Configuration Manager.

Sugerencia

Programe la sincronización de actualizaciones de software para que se ejecute mediante una hora adecuada para su entorno. Un escenario común es establecer la programación de sincronización para que se ejecute poco después de la versión de actualización de software normal de Microsoft el segundo martes de cada mes. Este día se conoce normalmente como Martes de revisión. Si usa Configuration Manager para entregar Endpoint Protection y Windows Defender actualizaciones de definición y motor, considere la posibilidad de establecer la programación de sincronización para que se ejecute diariamente.

Una vez que el punto de actualización de software se sincroniza correctamente, envía una solicitud de sincronización a sitios secundarios. Si tiene puntos de actualización de software adicionales en un sitio primario, envía una solicitud de sincronización a cada punto de actualización de software. Este proceso se repite en todos los sitios de la jerarquía.

Actualizar clasificaciones

Cada actualización de software se define con una clasificación de actualizaciones que ayuda a organizar los diferentes tipos de actualizaciones. Durante el proceso de sincronización, el sitio sincroniza los metadatos de las clasificaciones especificadas.

Configuration Manager admite la sincronización de las siguientes clasificaciones de actualización:

• Novedades críticas: una actualización ampliamente publicada para un problema específico que soluciona un error crítico no relacionado con la seguridad.

• Definición Novedades: actualización de virus u otros archivos de definición.

• Feature Packs: nuevas características de producto que se distribuyen fuera de una versión de producto y que normalmente se incluyen en la siguiente versión completa del producto.

• Novedades de seguridad: una actualización ampliamente publicada para un problema relacionado con la seguridad específico del producto.

• Service Packs: conjunto acumulativo de revisiones que se aplica a un sistema operativo o una aplicación. Estas revisiones incluyen actualizaciones de seguridad, actualizaciones críticas y actualizaciones de software.

• Herramientas: una utilidad o característica que ayuda a completar una o varias tareas.

• Paquetes acumulativos de actualizaciones: un conjunto acumulativo de revisiones que se empaquetan juntas para facilitar la implementación. Estas revisiones incluyen actualizaciones de seguridad, actualizaciones críticas y actualizaciones de software. Un paquete acumulativo de actualizaciones suele abordar un área específica, como la seguridad o un componente de producto.

• Novedades: actualización de una aplicación o archivo que está instalado actualmente.

• Actualizaciones: una actualización de características a una nueva versión de Windows.

Configure los valores de clasificación de actualización solo en el sitio de nivel superior. La configuración de clasificación de actualizaciones no está configurada en el punto de actualización de software en sitios secundarios, ya que los metadatos de las actualizaciones de software se replican desde el sitio de nivel superior. Al seleccionar las clasificaciones de actualización, tenga en cuenta que cuantos más clasificaciones seleccione, más tiempo se tarda en sincronizar los metadatos de las actualizaciones de software.

Advertencia

Como procedimiento recomendado, borre todas las clasificaciones antes de sincronizar por primera vez. Después de la sincronización inicial, seleccione las clasificaciones deseadas y vuelva a ejecutar la sincronización.

Productos

Los metadatos de cada actualización de software definen uno o varios productos para los que se aplica la actualización. Un producto es una edición específica de un sistema operativo o una aplicación. Un ejemplo de un producto es Microsoft Windows 10. Una familia de productos es el sistema operativo base o la aplicación de la que se derivan los productos individuales. Un ejemplo de familia de productos es Microsoft Windows, del que Windows 10 y Windows Server 2016 son miembros. Seleccione una familia de productos o productos individuales dentro de una familia de productos.

Cuando las actualizaciones de software son aplicables a varios productos y al menos uno de los productos está seleccionado para la sincronización, todos los productos aparecen en la consola de Configuration Manager incluso si algunos productos no se seleccionaron. Por ejemplo, solo selecciona el producto Windows Server 2012. Si una actualización de software se aplica a Windows Server 2012 y Windows Server 2012 Datacenter Edition, ambos productos se encuentran en la base de datos del sitio.

Configure la configuración del producto solo en el sitio de nivel superior. La configuración del producto no está configurada en el punto de actualización de software para sitios secundarios porque los metadatos de las actualizaciones de software se replican desde el sitio de nivel superior. Cuantos más productos seleccione, más tiempo tardará en sincronizarse los metadatos de las actualizaciones de software.

Importante

Configuration Manager almacena una lista de productos y familias de productos entre los que elige la primera vez que instala el punto de actualización de software. Es posible que los productos y las familias de productos que se publican después de Configuration Manager no estén disponibles para seleccionar hasta que complete la sincronización. El proceso de sincronización actualiza la lista de productos y familias de productos disponibles de los que puede elegir. Borre todos los productos antes de sincronizar las actualizaciones de software por primera vez. Después de la sincronización inicial, seleccione los productos deseados y vuelva a ejecutar la sincronización.

Reglas de sustitución

Normalmente, una actualización de software que reemplaza a otra actualización de software realiza una o varias de las siguientes acciones:

• Mejora, mejora o actualiza la corrección proporcionada por una o varias actualizaciones publicadas anteriormente.

• Mejora la eficacia del paquete de archivos de actualización reemplazado, que se instala en los clientes si la actualización está aprobada para la instalación. Por ejemplo, la actualización sustituida puede contener archivos que ya no son pertinentes para la corrección o para los sistemas operativos compatibles con la nueva actualización. Esos archivos no se incluyen en el paquete de archivos de superseding de la actualización.

• Novedades versiones más recientes de un producto. En otras palabras, actualiza las versiones que ya no son aplicables a versiones anteriores o configuraciones de un producto. Novedades también puede reemplazar otras actualizaciones si se realizaron modificaciones para expandir la compatibilidad con idiomas. Por ejemplo, una revisión posterior de una actualización de producto para Aplicaciones Microsoft 365 podría quitar la compatibilidad con un sistema operativo anterior, pero podría agregar compatibilidad adicional con nuevos idiomas en la versión de actualización inicial.

En las propiedades del punto de actualización de software, especifique que las actualizaciones de software sustituidas han expirado inmediatamente. Esta configuración impide que se incluyan en nuevas implementaciones. También marca las implementaciones existentes para indicar que contienen una o varias actualizaciones de software expiradas. O especifique un período de tiempo antes de que expiren las actualizaciones de software sustituidas. Esta acción le permite seguir implementándolos.

Tenga en cuenta los siguientes escenarios en los que es posible que tenga que implementar una actualización de software reemplazada:

• Una actualización de software de superseding solo admite versiones más recientes de un sistema operativo. Algunos de los equipos cliente ejecutan versiones anteriores del sistema operativo.

• Una actualización de software de superseding tiene una aplicabilidad más restringida que la actualización de software que reemplaza. Este comportamiento haría que fuera inadecuado para algunos clientes.

• Si no se aprobó una actualización de software de superseding para la implementación en el entorno de producción.

Configuration Manager puede expirar automáticamente las actualizaciones sustituidas en función de la programación que elija. Puede especificar el comportamiento de las reglas de sustitución para las actualizaciones de características por separado de las actualizaciones que no son de características. La configuración predeterminada es esperar 3 meses antes de expirar una actualización sustituida. El valor predeterminado de 3 meses es darle tiempo para comprobar que ninguno de los equipos cliente ya no necesita la actualización. Se recomienda no suponer que las actualizaciones sustituidas deben expirar inmediatamente en favor de la nueva actualización de superposición. Puede mostrar una lista de las actualizaciones de software que reemplazan a la actualización de software en la pestaña Información de sustitución en las propiedades de actualización de software.

Idiomas

La configuración de idioma del punto de actualización de software le permite configurar:

• Los idiomas para los que se sincronizan los detalles de resumen (metadatos de actualizaciones de software) para las actualizaciones de software
• Idiomas del archivo de actualización de software que se descargan para las actualizaciones de software

Archivo de actualización de software

Configure los idiomas para la configuración del archivo de actualización de software en las propiedades del punto de actualización de software. Esta configuración proporciona los idiomas predeterminados que están disponibles al descargar actualizaciones de software en un sitio. Modifique los idiomas seleccionados de forma predeterminada cada vez que se descarguen o implementen las actualizaciones de software. Durante el proceso de descarga, los archivos de actualización de software de los idiomas configurados se descargan en la ubicación de origen del paquete de implementación, si los archivos de actualización de software están disponibles en el idioma seleccionado. A continuación, se copian en la biblioteca de contenido del servidor de sitio. A continuación, se distribuyen a los puntos de distribución configurados para el paquete.

Configure los valores de idioma del archivo de actualización de software con los idiomas que se usan con más frecuencia en su entorno. Por ejemplo, los clientes de su sitio usan principalmente inglés y japonés para Windows o aplicaciones. Hay algunos otros idiomas que se usan en el sitio. Seleccione solo inglés y japonés en la columna Archivo de actualización de software al descargar o implementar la actualización de software. Esta acción le permite usar la configuración predeterminada en la página Selección de idioma de los asistentes de implementación y descarga. Esta acción también evita que se descarguen archivos de actualización innecesarios. Configure esta configuración en cada punto de actualización de software de la jerarquía de Configuration Manager.

Detalles de resumen

Durante el proceso de sincronización, la información de detalles de resumen (metadatos de actualizaciones de software) se actualiza para las actualizaciones de software en los idiomas que especifique. Los metadatos proporcionan información sobre la actualización de software, por ejemplo:

• Nombre
• Descripción
• Productos compatibles con la actualización
• Clasificación de actualización
• Id. de artículo
• Dirección URL de descarga
• Reglas de aplicabilidad

Configure los valores de detalles de resumen solo en el sitio de nivel superior. Los detalles de resumen no se configuran en el punto de actualización de software en sitios secundarios porque los metadatos de las actualizaciones de software se replican desde el sitio de administración central mediante la replicación basada en archivos. Al seleccionar los idiomas de detalles de resumen, seleccione solo los idiomas que necesita en su entorno. Cuantos más idiomas seleccione, más tiempo se tarda en sincronizar los metadatos de las actualizaciones de software. Configuration Manager muestra los metadatos de las actualizaciones de software en la configuración regional del sistema operativo en el que se ejecuta la consola de Configuration Manager. Si las propiedades localizadas de las actualizaciones de software no están disponibles en la configuración regional de este sistema operativo, la información de actualizaciones de software se muestra en inglés.

Importante

Seleccione todos los idiomas de detalles de resumen que necesita. Cuando el punto de actualización de software en el sitio de nivel superior se sincroniza con el origen de sincronización, los idiomas de detalles de resumen seleccionados determinan los metadatos de actualizaciones de software que recupera. Si modifica los idiomas de detalles de resumen después de que la sincronización se haya ejecutado al menos una vez, recupera los metadatos de actualizaciones de software para los idiomas de detalles de resumen modificados solo para las actualizaciones de software nuevas o actualizadas. Las actualizaciones de software que ya se han sincronizado no se actualizan con nuevos metadatos para los idiomas modificados a menos que se produzca un cambio en la actualización de software en el origen de sincronización.

Tiempo máximo de ejecución

Puede especificar la cantidad máxima de tiempo que debe completar una instalación de actualización de software. Puede especificar el tiempo de ejecución máximo para lo siguiente:

• Tiempo máximo de ejecución para las actualizaciones de características de Windows (minutos)

  • Actualizaciones de características : actualización que se encuentra en una de estas tres clasificaciones:
    • Actualizaciones
    • Paquetes acumulativos de actualizaciones
    • Service Pack

• Tiempo de ejecución máximo para actualizaciones de Office 365 y actualizaciones que no son de características para Windows (minutos)

  • Actualizaciones que no son de características: actualización que no es una actualización de características y cuyo producto aparece como uno de los siguientes:
    • Windows 11
    • Windows 10 (todas las versiones)
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Office 365

• Tiempo de ejecución máximo para todas las demás actualizaciones de software fuera de estas categorías, como las actualizaciones de terceros (minutos): el tiempo de ejecución máximo predeterminado de estas actualizaciones varía en función de cuándo la actualización se sincronice por primera vez en el entorno y en la versión Configuration Manager. Use el carro siguiente para determinar el valor máximo en tiempo de ejecución de estas actualizaciones:

  2203 o posterior	2103, 2107 o 2111	2010
  El tiempo de ejecución máximo para todas las demás actualizaciones de software es personalizable. El valor predeterminado es 60 minutos.	60 minutos	10 minutos

  Importante

  • Esta configuración solo cambia el tiempo de ejecución máximo para las nuevas actualizaciones sincronizadas en mediante SUP. No cambia el tiempo de ejecución en las actualizaciones existentes que se sincronizaron antes de que se modificara el tiempo de ejecución. Por ejemplo, si Update 1 primero se sincronizó en un entorno 2111, el tiempo de ejecución máximo es de 60 minutos. A continuación, actualice el entorno a la versión 2203 y establezca el tiempo de ejecución máximo en 30 minutos. Update 1 conserva su tiempo de ejecución de 60 minutos. Sin embargo, cuando una nueva actualización, Update 2, se sincroniza en, se le asigna el nuevo tiempo de ejecución de 30 minutos.
  • Si necesita cambiar el tiempo máximo de ejecución de una actualización manualmente, puede configurar los valores de actualización de software para ella.

Planear una ventana de mantenimiento de actualizaciones de software

Agregue una ventana de mantenimiento dedicada a la instalación de actualizaciones de software. Esta acción le permite configurar una ventana de mantenimiento general y una ventana de mantenimiento diferente para las actualizaciones de software. Al configurar una ventana de mantenimiento general y una ventana de mantenimiento de actualizaciones de software, los clientes instalan actualizaciones de software solo durante la ventana de mantenimiento de actualizaciones de software.

Puede cambiar este comportamiento y permitir que las actualizaciones de software se instalen durante una ventana de mantenimiento general. Para obtener más información sobre esta configuración de cliente, consulte Software updates client settings (Actualizaciones de software de la configuración de cliente).

Para obtener más información sobre las ventanas de mantenimiento, vea Uso de ventanas de mantenimiento.

Opciones de reinicio para Windows 10 clientes después de la instalación de actualizaciones de software

Cuando se implementa e instala una actualización de software que requiere un reinicio mediante Configuration Manager, el cliente programa un reinicio pendiente y muestra un cuadro de diálogo de reinicio.

Cuando hay un reinicio pendiente para una actualización de software Configuration Manager, la opción actualizar y reiniciar y actualizar y apagar está disponible en Windows 10 equipos en las opciones de energía de Windows. Después de usar una de estas opciones, el cuadro de diálogo de reinicio no se muestra después de reiniciar el equipo. En determinadas circunstancias, el sistema operativo puede quitar las opciones de reinicio pendientes. Esto puede ocurrir si la característica Inicio rápido de Windows 10 está habilitada. Para obtener más información, consulte Novedades no se puede instalar con inicio rápido en Windows 10.

Evaluación de actualizaciones de software después de una actualización de pila de mantenimiento

A partir de la versión 2002, Configuration Manager detecta si una actualización de pila de mantenimiento (SSU) forma parte de una instalación para varias actualizaciones. Cuando se detecta un SSU, se instala primero. Después de instalar el SSU, se ejecuta un ciclo de evaluación de actualizaciones de software para instalar las actualizaciones restantes. Este cambio permite instalar una actualización acumulativa dependiente después de la actualización de la pila de mantenimiento. El dispositivo no tiene que reiniciarse entre instalaciones y no es necesario crear una ventana de mantenimiento adicional. Las SSU solo se instalan primero para las instalaciones iniciadas por el usuario. Por ejemplo, si un usuario inicia una instalación para varias actualizaciones desde el Centro de software, es posible que el SSU no se instale primero. La instalación de SSU en primer lugar no está disponible para sistemas operativos Windows Server cuando se usa Configuration Manager versión 2002. Esta funcionalidad se agregó en Configuration Manager versión 2006 para sistemas operativos Windows Server.

Pasos siguientes

Una vez que planee las actualizaciones de software, consulte Preparación para la administración de actualizaciones de software.

Para obtener más información sobre la administración de Windows como servicio, vea Aspectos básicos de Configuration Manager como servicio y Windows como servicio.